С рекламного баннера — прямо в карман. Новая технология Intellexa взламывает смартфоны без кликов

Исследователи Insikt Group из компании Recorded Future обнаружили новые элементы глобальной сети вокруг вендора шпионского ПО Intellexa и его набора Predator — несмотря на санкции, международные расследования и скандалы, эта инфраструктура продолжает работать и расширяться. Через цепочку подставных и аффилированных компаний, в том числе в Дубае и Чехии, Intellexa по-прежнему поставляет свои продукты госструктурам по всему миру, а Predator всё активнее применяется не только против журналистов и активистов, но и против бизнес-элиты и высокопоставленных чиновников.

Predator — это наёмное шпионское ПО для Android и iOS, работающее с 2019 года. Изначально его разработала компания Cytrox, а сейчас оно распространяется через более широкий пул юридических лиц, связанных с Intellexa. После заражения Predator даёт оператору полный контроль над устройством: доступ к микрофону и камере, чтение переписок, контактов, фотографий, документов. Архитектура основана на модулях на Python, которые можно подгружать удалённо без повторного взлома смартфона, что усложняет анализ и обнаружение.

Векторы атак Predator и география его операторов

Для доставки Predator используются как «однокликовые» атаки с фишинговыми ссылками, так и более сложные сценарии с внедрением на уровне сети и через рекламные площадки. При этом публично не зафиксировано случаев применения полноценных «zero-click» эксплойтов уровня Pegasus, когда достаточно получить сообщение в мессенджере, чтобы устройство оказалось взломано. Тем не менее, по данным Insikt Group, за последние два года подозреваемые операторы Predator выявлены более чем в десятке стран — от Анголы, Казахстана и Монголии до Омана, Филиппин, Саудовской Аравии и Тринидада и Тобаго, а также в Греции, Судане и Вьетнаме.

Особое место в отчёте занимает Греция. Именно там, по данным расследований, Intellexa выстроила один из ключевых хабов для Predator: в Афинах размещался учебный центр для операторов, а обучение и круглосуточную поддержку обещали включать в коммерческие предложения. Греческий скандал вокруг незаконной прослушки и слежки за журналистами, политиками и бизнесменами, получивший название «Predatorgate», привёл к обыскам в офисах Intellexa и подрядчика Krikel и до сих пор остаётся предметом судебных разбирательств.

Корпоративная сеть Intellexa и «чешский кластер»

Insikt Group подробно разбирает корпоративную «паутину» Intellexa, где ключевую роль играют фирмы-прокладки, связанные с так называемым «чешским кластером». Исследователи описывают несколько новых компаний, с высокой долей вероятности входящих в эту сеть: зарегистрированную в дубайской свободной зоне PULSE FZCO, а также Zelus Analytics, Pulse Advertise и MorningStar TEC. Их сайты и инфраструктура живут на одном наборе IP-адресов с уже известными доменами Intellexa, а функционал варьируется от «киберконсалтинга» и аналитики данных до рекламных технологий и маркетинга.

Часть этих компаний, судя по данным экспортно-импортных баз, фактически используется как витрина для поставок Predator и сопутствующих решений конечным заказчикам. Так, PULSE FZCO фигурирует в поставках технических комплексов в Ботсвану, Казахстан и на Филиппины. В Ботсване груз получало управление разведки и безопасности (DIS), которое ранее уже связывали с закупками средств слежки; примерно через месяц после этой поставки Insikt Group зафиксировала начало активности Predator в стране.

В Казахстане получателем стала компания OOO Seven Hills, уже известная по импортам другого спорного оборудования для слежки — сумма поставки оценивается примерно в 12,4 млн долларов. На Филиппинах партнёром значится телеком-дистрибутор ComWorks, связанный с другим реселлером спецтехники Neo-Tech Asia.

Отдельное внимание исследователи уделяют двум «рекламным» компаниям — Pulse Advertise и MorningStar TEC. Официально они предлагают услуги в сфере digital-маркетинга и рекламных технологий, однако, по оценке Insikt Group, эти структуры могут быть связаны с экспериментальной атакой Intellexa под кодовым названием Aladdin. Эта концепция, впервые описанная в утечках 2022 года и расследовании израильских СМИ, предполагает заражение устройств через таргетированную онлайн-рекламу.

Проект Aladdin и его возможные разработчики

Специально подготовленные объявления срабатывают только для нужной аудитории и служат транспортом для эксплойтов под iOS и Android. Признаков боевого применения Aladdin пока не зафиксировано, но связанная с ним документооборотом компания из «чешского кластера» появляется в счётах за proof-of-concept этого проекта.

Новая выборка инфраструктурных индикаторов позволяет Insikt Group говорить о продолжающемся присутствии Predator в Ираке. Исследователи обнаружили домены, связанные с региональными контекстами Иракского Курдистана и диалектом бадини, а также сетевую активность между «верхнеуровневой» инфраструктурой Predator и IP-адресами, принадлежащими иракским провайдерам.

Кроме того, зафиксированы запросы с иракского адресного пространства к одному из серверов Tier 1, что укладывается в типичную цепочку заражения. С умеренной уверенностью Insikt Group делает вывод, что в Ираке существует клиент Predator, который остаётся активным и в 2025 году.

Помимо Ирака, исследователи нашли признаки инфраструктуры, вероятно связанной с Пакистаном и ориентированной на регион Белуджистана, однако здесь пока неясно, идёт ли речь о локальных целях или об операторе, работающем с территории страны. В то же время наблюдается изменение подходов Intellexa к инфраструктуре: активнее используется Cloudflare и иные облачные сервисы для сокрытия реальных серверов.

Маскировка инфраструктуры Intellexa и динамика рынка шпионского ПО

Сокращается видимая снаружи часть доменного пространства и усложняются схемы привязки доменов к конкретным странам и клиентам. В 2025 году публично обнаруживается меньше инфраструктуры, чем годом ранее, что может означать как снижение активности, так и успешное усложнение маскировки.

Insikt Group описывает и более общие тренды рынка наёмного шпионского ПО. Индустрия «балканизируется»: компании делятся по геополитическим линиям, одни — под санкциями и под общественным давлением — пытаются вернуться на «респектабельный» рынок через поглощения и ребрендинг, другие уходят в регионы с более слабым регулированием.

На этом фоне сохраняется устойчивое ядро посредников и фигурантов, которые всплывают вокруг разных брендов и юрлиц, обеспечивая юридическое, финансовое и логистическое ядро бизнеса. Отдельно подчёркивается роль стоимости эксплойтов. Цепочки для взлома актуальных смартфонов могут стоить десятки миллионов долларов: упоминаются предложения ближневосточных брокеров, готовых платить до 20 млн долларов за удалённые RCE-эксплойты под iOS и Android или инструменты взлома по SMS.

Формирование скрытой шпионской экосистемы и риски для жертв

При этом до конца непонятно, разрабатывают ли такие компании, как Intellexa, критические уязвимости сами или покупают у сторонних игроков — и как в этой экосистеме пересекаются интересы спецслужб и коммерческих вендоров. В одном из отчётов приводится пример, когда APT-группа использовала те же эксплойты, что и Intellexa и NSO Group.

Фрагментация корпоративной структуры, по словам Insikt Group, повышает риски не только для жертв, но и для заказчиков шпионского ПО. Сложные сети аффилированных компаний со слабой кибербезопасностью легче взломать, а сотрудники с «двойной жизнью» — одновременно работающие на Intellexa и другие фирмы — получают доступ к внешним корпоративным и даже межгосударственным сетям обмена данными, что создаёт каналы для утечек.

Всё это происходит на фоне роста спроса: государства и силовые структуры, столкнувшиеся с экспортными ограничениями, продолжают искать способы получить доступ к таким инструментам. Несмотря на санкции США против Intellexa и связанных лиц, визовые запреты, резолюцию Европарламента и международные инициативы вроде процесса Pall Mall, Predator продолжает применяться. В фокусе по-прежнему гражданское общество — журналисты, активисты, оппозиционные политики.

Новые высокоценные цели и скрытность индустрии

Но всё чаще под удар попадают бизнес-лидеры и другие частные фигуры с высокой разведывательной ценностью: топ-менеджеры, люди с доступом к закрытой информации, представители частных компаний в стратегических секторах. Многие из них предпочитают не афишировать факт слежки, опасаясь потерять доверие партнёров и источников, что делает видимую часть скандалов лишь вершиной айсберга.

Insikt Group рекомендует потенциальным целям усиливать защиту мобильных устройств: использовать режим Lockdown там, где он доступен, не устанавливать лишние приложения, строго фильтровать входящие ссылки и вложения, применять блокировку рекламы и трекинга, своевременно обновлять операционные системы и программы.

Однако сами исследователи признают, что даже при всех предосторожностях высококлассное шпионское ПО остаётся практически неуязвимым для обычного пользователя, а противостоять ему по-настоящему можно только сочетанием технических средств, прозрачных расследований и политического давления на индустрию. Пока же рынок наёмного шпионажа продолжает расти и усложняться, превращаясь в глобальную систему скрытого контроля за теми, кто представляет интерес для власти и бизнеса.